Между буквой и духом законов: как международной компании защитить ПДн клиентов и избежать санкций
Большинство международных компаний ходит по тонкому льду — когда твои сотрудники и пользователи разбросаны по всему миру, хранение и обработка их персональных данных становится сложной юридической проблемой. Если пытаться досконально вникнуть в законы сразу всех стран, можно превратиться в...
Как мы обезличиваем ПДн, сохраняя их смысл и качество. Чтобы тестовый стенд был полезным, будто там данные с прода
Год назад мы выпустили «Маскировщик» — промышленный софт, который обезличивает персональные данные, сохраняя их качество и смысл. То есть гендерный баланс; социально‑демографическую структуру; родственные связи; страну и оператора в телефоне; валидность паспортов, ИНН, СНИЛС. В общем, «Маскировщик»...
Больше не значит лучше: адекватный класс СКЗИ для бизнеса
Всем привет, меня зовут Василий Степаненко, и теперь я работаю в НУБЕС. Эта статья для тех, кто любит “перебдеть”, и все информационные системы, в которых производится обработка персональных данных, категорировать по максимальному уровню защищенности, т.е. УЗ-1. Конечно же бывают случаи, когда...
Ваши персональные данные в «надежных» руках курьеров
В январе 2022 года от СМИ пришел запрос, где затрагивалась тема доступности ПДн клиентов курьерам. В ответ, не думая, набросал первый абзац о том, что большинство крупных и средних компаний давно используют виртуальную телефонию и промежуточные АТС для сокрытия номера телефона клиента и курьера....
7 декабря — анонс нового продукта HFLabs. Покажем «Центр управления согласиями»
Управление согласиями клиентов — сфера, где царит тотальный бардак. Люди не знают, где и какие согласия оставили. А бизнес не понимает, что ему разрешили: слишком много источников, слишком много версий одного согласия, слишком много хаоса. 7 декабря мы покажем продукт, который наведет порядок....
Приключения персональных данных в России. Как стоматология защитила персональные данные
Пришел ко мне хороший приятель с просьбой помочь разобраться с защитой персональных данных, так как недавно к нему заглянули ответственные товарищи и напугали огромной ответственностью – типа штрафы выросли за прошлый год в 6000 раз. Я в этой теме поковырялся и обнаружил, что многие валят в одну...
Нам нужно честно поговорить про аттестованные ЦОД
Дисклеймер 1. Я не собираюсь заниматься луддизмом и призывать всех не переезжать в аттестованные облака. Облачные технологии это, несомненно, часть нашего будущего. 2. Конечно же, не все аттестованные облака являются «аттестованными» в кавычках. Но если вы потенциальный клиент, есть нюансы, на...
Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ
Доброго времени суток, Хабр! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример. Речь пойдет о требовании ФСБ России шифровать любые персональные...
Персональные данные в облаках: декларация соответствия или аттестат
Достаточно большое количество B2C-компаний сталкиваются с необходимостью обработки персональных данных и, следовательно, соответствия требованиям регуляторов. Вариантов много: можно найти подходящий ЦОД и разместиться в колокейшн или выбрать провайдера с необходимым облачным сервисом. Первый...
Теперь каждую ИСПДн нужно подключать к SOC?
Наверное, многие из вас видели в конце декабря 2020 года в СМИ заголовки вроде «Подписано около 100 новых законов» и возможно даже читали подборки изменений новых правил из различных сфер жизни, вступающих в силу с 1 января 2021 года. Одним из таких подписанных документов был Федеральный закон от...
Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?
Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике – пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история...
Роскомнадзор душит с защитой персональных данных. Как с этим на Западе?
Российские компании жалуются на закон о персональных данных: он непонятный, мешает работать и угрожает штрафами. Мы подумали: «А вдруг в России еще легко отделались», — и сравнили наш закон с европейским и американским. Рассказываем, что получилось. Читать далее...
IaaS 152-ФЗ: итак, вам нужна безопасность
Сколько бы ни разбирали мифы и легенды, которыми окружено соответствие 152-ФЗ, что-то всегда остается за кадром. Сегодня мы хотим обсудить не всегда очевидные нюансы, с которыми могут столкнуться как крупные компании, так и совсем небольшие предприятия: • тонкости классификации ПДн по категориям —...
Как не нужно составлять согласие на обработку персональных данных
И какие согласия не стоит подписывать. Доброго времени суток, Хабр! Эта статья родилась совершенно спонтанно из такой вот истории. Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы...
Как из бумажной безопасности сделать практическую, или зачем нам соблюдение 152-ФЗ и PCI DSS в одном облаке
Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы...
Вебинар «Как пережить комплаенс? Оптимальный подход к выполнению требований регуляторов»
Не всегда аудит ИБ в компании ограничивается увлекательным пентестом: в ряде случаев требуется провести оценку соответствия разного рода нормативам и стандартам. Особенно активно пугают аббревиатурами 382-П, ОУД4, КИИ, 152-ФЗ, при этом о практических вещах не говорят: как соблюсти все требования и...
Гайд по внутренней документации по информационной безопасности. Что, как и зачем
В одной из наших предыдущих статей мы затронули вопрос формирования комплекта документов для проверяющих по вопросам защиты персональных данных. Мы дали ссылку на наши шаблоны документов, но остановились на теме документации по информационной безопасности весьма поверхностно. В этой статье хотелось...
Руководство по заполнению уведомления оператора персональных данных
В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали...
Назад